Государственное образовательное учреждение высшего профессионального образования
Московский государственный технологический университет «СТАНКИН»
Кафедра «Информационные системы»
Лабораторная работа №6
по курсу «Методы и средства защиты компьютерной информации» на тему:
«Освоение программных средств для работы с сертификатами открытых ключей»
Выполнил: студент группы И-7-5
Филенков К.А.
Москва, 2011
1.Работа c утилитой MakeCert
MakeCert – средство создания сертификатов.
Следующая
команда создает тестовый сертификат,
выданный тестовым корневым центром по
умолчанию, и записывает его в файл
gov1.cer gov1.pvk
Следующая команда создает сертификат, выданный тестовым корневым центром по умолчанию, и сохраняет его в хранилище сертификатов. Сертификат явным образом помещается в хранилище currentuser. Makecert –ss gov3
Cоздается сертификат, подписанный издателем по умолчанию. Этот сертификат сохраняется в хранилище My и в файле gov4.cer, а созданный секретный ключ помещается в файл gov4.pvk:
MakeCert /sv gov4.pvk /ss My gov4.cer
Cоздаем сертификат подписанный издателем по умолчанию сертификат и контейнер ключей с именем gov5 для хранения созданных ключей, а созданный сертификат сохраняется и в хранилище TrustedPeople, и в файле gov5.cer:
MakeCert /sk gov5.pvk /ss TrustedPeople gov5.cer
Затем пробуем MakeCert /sk gov 6.pvk /ss CA gov 6.cer
Опции, которые могут быть указаны при вызове утилиты MakeCert, разделяются на три группы:
базовые опции, управляющие созданием и хранением созданного сертификата;
расширенные опции, применимые к свойствам создаваемого сертификата, сертификатам издателей и связанным с ними секретным ключам и их хранению.
Табл. 1
Опция |
Описание опции |
/n имя |
Имя владельца сертификата в формате X.500 (например, “CN=имя”) |
/pe |
Созданный личный ключ отмечается как экспортируемый |
/sk имя |
Имя существующего или создаваемого контейнера ключей, который будет использован для хранения секретного ключа (если не указаны ни /sk, ни /sv опция, то используется имя контейнера по умолчанию, например JoeSoft) |
/sr раздел |
Раздел реестра, используемый для размещения создаваемого сертификата (LocalMachine или CurrentUser, по умолчанию) |
/ss имя |
Имя хранилища для создаваемого сертификата |
/# номер |
Серийный номер создаваемого сертификата, от 1 до 231-1 (по умолчанию генерируется утилитой MakeCert с гарантией уникальности) |
/$ тип |
Тип удостоверяющего центра (commercial – для удостоверения издателей коммерческого программного обеспечения или individual – для удостоверения издателей индивидуального программного обеспечения) |
В табл. 2 приведено описание расширенных опций утилиты MakeCert, предназначенных для управления свойствами создаваемого сертификата, сертификатами и секретными ключами издателей.
Табл. 2
Опция |
Описание опции |
/a алгоритм |
Алгоритм хеширования (sha1 или md5, по умолчанию) |
/b дата |
Дата начала действия сертификата (в формате mm/dd/yyyy), по умолчанию – дата создания сертификата |
/cy тип |
Тип сертификата (end – пользовательский, authority – удостоверяющего центра) |
/e дата |
Дата окончания действия сертификата (по умолчанию 12/31/2039) |
/eku OID1,OID2… |
Список идентификаторов объектов для назначений сертификата (по умолчанию – все назначения) |
/h длина |
Максимальная длина цепочки сертификации |
/ic строка |
Имя pvk-файла с секретным ключом издателя |
/ik строка |
Имя контейнера ключей издателя (имя по умолчанию зависит от версии операционной системы) |
/iky тип |
Тип создаваемого ключа издателя (аналогично опции /sky) |
/in имя |
Имя издателя сертификата (утилита MakeCert будет искать сертификат, чье имя включает заданное этой опцией) |
/ip имя |
Криптопровайдер для издателя |
/ir раздел |
Раздел реестра для хранения сертификата издателя (LocalMachine или CurrentUser, по умолчанию) |
/is имя |
Имя хранилища сертификатов, содержащего сертификат издателя и связанный с ним секретный ключ (если таких сертификатов несколько, то требуется его явная спецификация с помощью опций /ic или /in; если не находится уникального сертификата, то утилита MakeCert завершается с ошибкой) |
/iv имя файла |
Имя pvk-файла с секретным ключом издателя (имя по умолчанию зависит от версии операционной системы) |
/iy тип |
Тип криптопровайдера для издателя (по умолчанию PROV_RSA_FULL) |
/l ссылка |
Ссылка (например, URL) на ресурс, определяющий политику использования |
/len число |
Длина в битах генерируемого ключа |
/m число |
Срок действия сертификата в месяцах |
/nscp |
Добавление расширения для клиента аутентификации Netscape |
/r |
Создание самоподписанного сертификата |
/sc имя файла |
Имя файла с уже существующим сертификатом |
/sky тип |
Тип создаваемого ключа асимметричного шифрования (signature (1) – ключ ЭЦП, exchange (2) – ключ обмена, 3 – ключ ЭЦП и обмена); если опция не задана, то тип определяется типом используемых файла или контейнера ключей (если в контейнере есть разные ключи, то вначале MakeCert пытается создать ключ ЭЦП, а затем – ключ обмена) |
/sp имя |
Имя криптопровайдера (если опция не задана, то используется криптопровайдер по умолчанию) |
/sv имя файла |
Имя файла с расширением .pvk для хранения секретного ключа |
/sy тип |
Тип криптопровайдера (по умолчанию PROV_RSA_FULL) |
При вызове утилиты MakeCert без указания опций и имени выходного файла программа завершается с ошибкой и выводом информации об основных ее базовых опциях:
Error: Please either specify the outputCertificateFile or -ss option
Usage: MakeCert [ basic|extended options] [outputCertificateFile]
Basic Options
-sk <keyName> Subject's key container name; To be created if not present
-pe Mark generated private key as exportable
-ss <store> Subject's certificate store name that stores the output
certificate
-sr <location> Subject's certificate store location.
<CurrentUser|LocalMachine>. Default to 'CurrentUser'
-# <number> Serial Number from 1 to 2^31-1. Default to be unique
-$ <authority> The signing authority of the certificate
<individual|commercial>
-n <X509name> Certificate subject X500 name (eg: CN=Fred Dews)
-? Return a list of basic options
-! Return a list of extended options